05. 07. 2009. | #1 |
Ivan Dilber
Sir Write-a-Lot
|
html escape
malo sam zardjao oko XSS-a i escaping-a, a vidim da je nedavno Ivan drzao predavanje na temu securitija, pa taman da vas preslisam
Hocu da si napravim assign_safe() f-ju za smarty, sa idejom da ona odradi sav potreban escaping da mogu bez mnogo razmisljanja da printam bilo koji submitovani text: a) negde unutar html-a (recimo poruka o gresci na formi) b) unutar value atributa za inpute, i unutar textarea polja da li je dovoljno uraditi htmlspecialchars($string, ENT_QUOTES, $char_set); ili moram jos nesto? Ako ima neka gotova rutina za ovo, bez mnogo komplikacija, jos bolje, dajte source ili link... Znam da postoje kses i slicne klase za ovo, ali hteo bih lightweight resenje bez ikakvih fancy opcija, samo treba da sve redom pocisti i konvertuje u 100% bezbednu formu.
__________________
Leadership is the art of getting people to want to do what you know must be done. |
|
|
Slične teme | ||||
Tema | Početna poruka teme | Forum | Odgovori | Poslednja poruka |
SEF .html ili .php? | Codegen | Marketing i SEO | 5 | 10. 06. 2008. 23:32 |
Html 5 | twix | (X)HTML, JavaScript, DHTML, XML, CSS | 1 | 05. 12. 2007. 15:37 |
Input escape - mysql_real_escape_string | bluesman | PHP | 11 | 11. 03. 2007. 15:14 |
Escape char iz mysql komandne linije. | Dragi Tata | SQL baze podataka - Sponzor: Baze-Podataka.net | 11 | 05. 08. 2006. 15:35 |
HTML/CSS na PDA | Pedja | (X)HTML, JavaScript, DHTML, XML, CSS | 6 | 26. 01. 2006. 11:59 |